引言：近年來的頻繁曝出的數(shù)據(jù)泄露事件令人不得不思考，機構(gòu)是否把安全投入投到了正確的地方。

最近的一份數(shù)據(jù)泄露報告顯示，95%的數(shù)據(jù)泄露事件其動機均為獲取物質(zhì)利益或商業(yè)間諜行為。于是一個疑問就此產(chǎn)生，我們?yōu)槭裁匆押芏嗟馁Y源和精力投入到保護網(wǎng)絡(luò)邊界，而不是防止數(shù)據(jù)泄露或篡改方面呢?信息安全是否需要一種新的方法來關(guān)注數(shù)據(jù)本身的安全問題?

企業(yè)花費大量的資金用于保持企業(yè)的安全邊界，以防范網(wǎng)絡(luò)攻擊和內(nèi)部威脅。Gartner的報告顯示，全球在信息安全方面的投入2014年將達到711億美元，較2013年增長7.9%。2015年將繼續(xù)增長8.2%，達到769億美元。

這些花費的大部分都用于加強傳統(tǒng)的安全防護邊界，但越來越多的安全事件表明，這種投入方向的效果很差。索尼影業(yè)就是一個例子，其數(shù)量繁多的安全工具和產(chǎn)品服務(wù)，也未能阻止黑客盜走其高度敏感的數(shù)據(jù)。

對于想要獲取物質(zhì)利益的黑客來說，攻擊的首要目標是數(shù)據(jù)。因此，如果能保證數(shù)據(jù)不被盜取或不被篡改，就可以在防止網(wǎng)絡(luò)入侵方面少花一些資源和精力。遺憾的是，現(xiàn)實情況許多機構(gòu)都未將數(shù)據(jù)保護視為重點。

一份調(diào)查了5000名高級IT經(jīng)理的報告顯示，全球35%的機構(gòu)并沒有對其數(shù)據(jù)進行加密。而近年來，所有發(fā)生的信息泄露事件，如果泄露信息的這些企業(yè)全部都對其數(shù)據(jù)進行加密的話，至少有一半的泄露事件可以避免。

這就是為什么越來越多的管理標準和行業(yè)標準，如COBIT 5、PCI DSS 3.0、FISMA等，強制要求數(shù)據(jù)完整性。那么，如果數(shù)據(jù)是網(wǎng)絡(luò)攻擊的最終目標，采取何種數(shù)據(jù)完整性戰(zhàn)略，才能夠最有效的保護機構(gòu)的敏感數(shù)據(jù)資產(chǎn)呢?

數(shù)據(jù)完整性的目標是在數(shù)據(jù)作者的認可下，確保數(shù)據(jù)的正確性、完整性、完全性、健康性和合規(guī)性。在IT安全的安全環(huán)境下，其目標是防止數(shù)據(jù)庫中的數(shù)據(jù)遭到意外、故意和未授權(quán)的移除、插入、修改或破壞。因此，最佳數(shù)據(jù)安全實踐的基礎(chǔ)應(yīng)該如下：

第一步，按業(yè)務(wù)需求分類保護數(shù)據(jù)。如分成“公開”、“內(nèi)部”、“秘密”和“絕密”等類別。數(shù)據(jù)分類常常被棄用是因為，需要手工維護數(shù)據(jù)不斷變化的類別狀態(tài)。但如今新興的大數(shù)據(jù)風險管理系統(tǒng)都有著所謂的動態(tài)分組功能，允許簡單的拖放操作重新分類，并可將改變分發(fā)到所有相關(guān)節(jié)點。

數(shù)據(jù)分類之后就是數(shù)據(jù)加密。加密技術(shù)在最近幾年來有著良好的發(fā)展，消除了早期在性能和部署方面的障礙。機構(gòu)應(yīng)該確保把加密機制正確地實施到所有敏感數(shù)據(jù)，無論數(shù)據(jù)在哪里保存，也不管數(shù)據(jù)如何傳輸。

訪問控制是許多安全項目的最薄弱點，這是因為實施者必須平衡數(shù)據(jù)可用性與未授權(quán)數(shù)據(jù)的使用(如盜用、泄露、篡改和破壞)。另一方面，黑客通常的目標是特權(quán)用戶，因為這些人的賬戶是入侵整個網(wǎng)絡(luò)的橋頭堡。因此，要嚴格執(zhí)行界定良好的訪問控制政策并持續(xù)監(jiān)控訪問路徑，以確保訪問控制策略的正常執(zhí)行。此為保證數(shù)據(jù)完整性的基本要素。一套能夠評估風險態(tài)勢、可視化結(jié)果和合理安排基于業(yè)務(wù)關(guān)鍵性的補救措施的大數(shù)據(jù)風險管理系統(tǒng)，可以給企業(yè)的數(shù)據(jù)保護工作帶來很大的幫助。

最后，機構(gòu)應(yīng)該保護數(shù)據(jù)的傳輸安全性。這方面最危險的案例就是黑客在股票市場的數(shù)據(jù)公開發(fā)布前，對其進行操縱。

D1Net評論：

對于信息安全工作而言，想達到百分百的安全是不可能的。然而，增加了數(shù)據(jù)完整性措施的安全防護機制，將極大的降低數(shù)據(jù)大規(guī)模泄露的可能。

(原文作者：王小瑞）